Windows Firewall im Firmennetz?

[gysinma1 13]

Hallo

 

Ausser in Grossbetrieben mit Überkranken "Netzwerksecurityfutzis" habe ich das noc nirgends gemacht (bin auch einer von den obenerwähnten ;-) - Ne bremst den Netzwerktraffic nur unnötig. Dafür HW SecurityEquipment einsetzen, sei es von CISCO, Linux oder ähnliches. Technisch gesehen, halte ich die MS Firewall eh für n Schlechtgewissensberuhiger ;-)

 

Gruss

 

Matthias

[weg5st0 10]

halte ich die MS Firewall eh für n Schlechtgewissensberuhiger ;-)

 

Auch ein nettes Wort :D

 

Ich kenne die einhellige Meinung: Im Firmennetz - Firewall aus.

 

Ich kann sie verstehen. Sie gilt aber nur - und ausschliesslich dann, wenn die Grundvoraussetzungen folgende sind:

Kein User arbeitet mit Admin Rechten. Kein Rechner verlässt das Netz (Laptops). Die Internetzugriffe werden auf Viren gescannt - und zwar funktionstüchtig. E-Mails werden gescannt - gefährliche Anhänge geblockt. Und Kein Externer hat Zugriff / Zugang zum Netz.

 

Wer das nicht unterschreiben kann, sollte über eine Firewall am Client ernsthaft nachdenken. (Nicht die Windowsfirewall - Sie ist leider nur ein Portblocker).

[steven20 10]

 

Ich kann sie verstehen. Sie gilt aber nur - und ausschliesslich dann, wenn die Grundvoraussetzungen folgende sind:

Kein User arbeitet mit Admin Rechten. Kein Rechner verlässt das Netz (Laptops). Die Internetzugriffe werden auf Viren gescannt - und zwar funktionstüchtig. E-Mails werden gescannt - gefährliche Anhänge geblockt. Und Kein Externer hat Zugriff / Zugang zum Netz.

 

Wir haben überall admin rechte, die Lappis gehen aussser haus und haben vpn zugang.

Bösartige Software die über den Browser kommt wird nur vom Lokalen Scanner gescannt.

 

E-Mails werden ganze gut gescannt da hab ich keine bedenken.

[OnkelGauss 10]

Das hat Stil. Hast du da einen Link?

 

Die Software ist unter GlobeSoft zu finden und heisst MultiNetworkManager.

[Ramius 10]

Hallo Zusammen,

 

nun möchte ich mal ein anderes Szenario aufbieten :-)

Bei uns ist auf allen Rechnern die Firewall eingeschaltet. Allerdings verlassen einige Notebooks von Außendienstmitarbeitern auch das lokale Netz.

 

Für die Remoteeinwahl arbeiten wir mit dem sog. Quarantäneverfahren, d.h. die Notebooks werden erst auf eine vorgegebene Konfiguration und Updates geprüft und dann bei einem Ok ins Firmennetz gelassen.

 

Ich glaube nicht, dass es genügt die Firewall nur einzuschalten, wenn man nicht im Firmennetz ist. Wenn ganz oder gar nicht. Vor allem beim Einsatz z.B. von XP mit der MS Firewall. Dies ändert sich ein bischen beim Einsatz von Vista, aber auch nur, wenn die Firewall dann sauber konfiguriert. ist.

 

Ich kann sie verstehen. Sie gilt aber nur - und ausschliesslich dann, wenn die Grundvoraussetzungen folgende sind:

Kein User arbeitet mit Admin Rechten. Kein Rechner verlässt das Netz (Laptops). Die Internetzugriffe werden auf Viren gescannt - und zwar funktionstüchtig. E-Mails werden gescannt - gefährliche Anhänge geblockt. Und Kein Externer hat Zugriff / Zugang zum Netz.

 

Der Aussage kann ich nur zustimmen, auch wenn es manchmal schwer ist sie durchzusetzten.

 

Bei den meisten Firmen ist die gleiche Tendenz zu beobachten, die auch in diesem Thread zu sehen ist.

 

Gruß

Ramius

[steven20 10]

HI

 

Soooo nachdem ich jetz hin und her überlegt habe und ich die überlegung hatte das ganze komplett zu vergessen hatte ich jetz folgende Idee:

 

Um die Firewall Netzintern weiter laufen zu lassen troztdem aber Admins's zugriff zu geben Folgende Idee:

Für useren paar Admins im DCHP eine Reservieren für eine keline Range machen, diese Manuell Pflegen ist kein Prob.

 

Und in der Windows Firewall nur für diese Range die Ausnahmen Definieren um ihnen Zugriff zu geben.

 

Da erschwert zumindest Automatisierte Angriffe um einiges. Gezielte Angreifern würden sich doch wohl eher auf die Server kozentrieren die sowieso ohne Firewall laufen.

[IThome 10]

Könnte man machen ... Obwohl die DHCP-Reservierung kein wirklicher Schutz vor Fälschung ist ... :)

[steven20 10]

HI

 

Das ist klar das das DHCP Reservierung kein Schutz ist, geht hier aber auch eher um Würmer and so on, da sich ein Wirklicher Angreifer wohl eher um die Server kümmern würde. Sagt meine Risikobewertung ^^

 

Secrutity besteh ja aus viel kleien bausteinen ;)

[merlin071 10]

@ gysinma1

Ausser in Grossbetrieben mit Überkranken "Netzwerksecurityfutzis"

 

Es gibt eben Firmen, die nicht gerade ein Produkt von der Stange anbieten. Diese bieten statt Kaugummi dann eben "Wehrtechnisches Material" an und sind mglw. sogar zur Rüstungsindustrie zu zählen... Du, wenn ich dann ein "überkranker Netzwerksecurityfutzi" bin, ist das ok, aber ich denke auch, dass Du meine/unsere FW inkl. deren Regeln gar nicht erst verstehen würdest ... sorry ...

 

@ weg5st0

 

Sehe ich genauso ! Wenn KEIN verbindliches wirkliches Sicherheitskonzept abgesegnet

auf dem Tisch liegt, muss eine FW zwingend selbst auf den Desktop. Und auch dort

bringt diese natürlich nur was, wenn die User entsprechend sensibilisiert sind !

 

Wessen Argument es natürlich ist, eine FW auf einem Domain-Client koste

Performance, der soll doch vllt. mal drüber nachdenken, ob er weiss, wovon er da

spricht :-( ... und ob er überhaupt weiss, "wie" man solcherlei auch konfiguriert.

 

Ist halt immer 'ne Entscheidung der eigenen Sicherheitsanforderung.

 

Sag ich mal so, als, wie ich ja gelernt habe " überkranker Netzwerksecurityfutzi " :D

 

Gruss

Merlin